漏洞概述 漏洞名称: DVDFab Virtual Drive Kernel Driver dvdfabio.sys 1.5.1.0 Local Privilege Escalation 漏洞描述: DVDFab Virtual Drive 2.0.0.5 版本中包含了签名的内核驱动 。该驱动暴露了 并实现了注册表代理 IOCTLs,允许调用者从内核上下文创建或打开任意注册表路径。返回的注册表句柄被插入到调用者的进程句柄表中。由于驱动在打开键时未强制执行调用者的正常注册表访问检查,普通用户可以获得一个可用的句柄来保护 HKLM 键。在验证阶段,普通用户无法直接写入受保护的 HKLM 测试键,也无法直接查询 HKLM\SAM\SAM;但使用相同的用户 打开并保护 HKLM\SAM\SAM 后,本地权限提升得以实现。 影响范围 受影响产品: DVDFab Virtual Drive 测试包: x64 offline installer 2.0.0.5 驱动: dvdfabio.sys 驱动版本: 1.5.1.0 驱动 SHA-256: C46549359FF81566F5C34359458E3F91C8DB7E3E5BC31680C6ED63A95F38B 修复方案 下载 URL: https://dl.dvdfab.cn/download/284_2005_9042f65d/dvdfab_virtual_drive_x64_2005.exe 文件名: dvdfab_virtual_drive_x64_2005.exe 安装器 SHA-256: 475F1E5A088867840F63148F6CABAB688B8F73F285FEA8F92744C84F1E7 安装器版本: 1.0.0.1 安装器签名: 有效,DVDFab Software Inc. 安装器签名: 有效,Fengtao Software Inc. POC 代码 页面中未提供具体的 POC 代码或利用代码。